[pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...

[Daniel Moisset]

2011/1/17 Emiliano Dalla Verde Marcozzi <edvm en airtrack.com.ar>

> Buenas querida lista,
>
> Tengo que transferir datos entre cliente servidor, servidor cliente y
> tratar de que
> no me roben info en el medio (...)

Ok, si se me meten en el medio de la sesión https, podrian ver el user y
> passwd, bad ...
>

https esta bastante bien hecho, y no se te pueden meter transparentemente al
medio si haces las cosas bien. Es decir, armar un certificado de una CA,
firmar con ese el certificado que usas en el server, y poner la clave
publica de la CA en los clientes. Si no sabes quienes vas a ser los
clientes, podes pedir una firma de una CA conocida, pero te la van a cobrar.

Si no, estas reinventando la rueda de oido, cosa que en seguridad suele ser
mala idea :)

En particular, el esquema que propones es la misma idea que SSL, y lo estas
haciendo sin firmas o sea que estas expuesto a exactamente el mismo tipo de
ataque de man in the middle que estabas queriendo evitar inicialmente.

Saludos,
   D.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110117/fe3b7cc8/attachment.html>